“兄dei~下次见面就是明年喽!”听到同事小姐姐说出这样的话,小编我才意识到2018年已经“余额不足”,伴随着元旦佳节的到来它马上就要和我们say goodbye了。
回想起来,这一年各家公司都在裁员,天堂那边却在不断纳新:科学奇人霍金、相声大师师胜杰、前央视主持人李咏、武侠小说泰斗金庸都纷纷“跳槽”;这一年,网络安全领域更是好不热闹,从Facebook数据泄露到英特尔芯片出现史诗级漏洞再到“喜达屋”事件。
今天,就让我们从网络安全的角度来回顾堪称血雨腥风的2018年。
1、Facebook:8700万用户数据泄露
坐拥20亿用户的Facebook在今年陷入了史上最大的个人信息泄露风波。
3月17日,美国《纽约时报》和英国《观察者日报》联合报道称,一名剑桥大学讲师通过一款性格测试应用收集数据,并将Facebook上超5000万用户的个人信息数据违规卖给了数据分析公司Cambridge Analytica。
雷锋网得知,消息曝光后,第一天Facebook股价跌幅达到6.8%,20日再跌2.56%抹平该公司今年以来的全部涨幅,其市值蒸发500亿美元。事件发生一个月后,美国社交网站脸书公司首席技术官Mike Schroepfer在其官网发布声明称:“目前共有8700万Facebook用户个人资料遭到泄露”,该数字远超媒体报道的5000万。当日,摩根史丹利将脸书目标股价从230美元下调至200美元。
在这之后,Facebook创始人兼首席执行官扎克伯格多次接受众议院能源和商务委员会的连番质询。Facebook承认有8700万用户数据被Cambridge Analytica公司不当利用,这些信息被用于定向投放广告以及在选举时支持特朗普团队。
事后扎克伯格称:“我们先前没有充分认识到我们的责任,这是一个巨大的错误。”
2、俄罗斯黑客入侵美国电网
五年来,俄罗斯一直都走在入侵美国电网的“奋斗”道路上。
今年7月,一位美国国土安全部官员称:“我们跟踪到一个行踪隐秘的俄罗斯黑客,该人有可能为政府资助组织工作。他先是侵入了主要供应商的网络,并利用前者与电力公司建立的信任关系轻松侵入到电力公司的安全网络系统。”
“而黑客这样做的目的,就是可以远程打开或者切断电力供给。”美国国土安全部工业控制系统分析主管Jonathan Homer分析道。
这并非俄罗斯第一次利用黑客攻击来侵入美国的电力安全系统。自2014年起,俄罗斯黑客组织就有扬言说要攻击美国电力公司,国安部也就该事多次提醒其留意安全检查。目前,尚不知道是否有受到该事件牵连的受害人。
“虽然尚未公布,但很有可能已经存在数以百计的受害者。”美国联邦官员称:“俄罗斯试图入侵美国电力公司的目的在于发起一轮大规模的电力事故,因为其一直在试图进入美国电力公用事业公司的控制室。”
3、英特尔芯片漏洞
“史诗级漏洞”之后,英特尔芯片仍漏洞频现,其CPU安全特性形同虚设。
在发现“幽灵”和“熔断”两大漏洞之后,研究人员于8月份在英特尔芯片内再次发现前两者的延伸漏洞。该漏洞会影响到自2015年发布的全部酷睿和至强处理器。
该漏洞将影响到英特尔平台CPU,以此给黑客绕过内部安全特性来获取到用户隐私信息的机会。同时,研究人员还发现了另外两个同类变体漏洞“Foreshadow-NG”,其主要攻击对象为其他微处理器(攻击代码、操作系统、管理程序软件等)。
这已经是今年在英特尔芯片中发现的第五个漏洞了,相比之下,最先被人们发现的“史诗级漏洞”显然具备更大的危害,而其修复起来也不是那么容易。亚马逊曾针对该漏洞提醒其购买了AWS服务的用户:“它存在于英特尔、AMD和ARM的广泛遍及服务器、台式机以及移动设备,而其年龄已经将近20岁。”
据称,在此次漏洞爆发前,英特尔CEO布莱恩·科兹安尼克通过抛售英特尔股票获利千万美元,而更有人爆料英特尔CEO早在去年6月份就知道了漏洞的存在,但迟迟未将其修复。
4、AcFun:900万条用户数据泄露
暗网炒到40万,你的信息真的很值钱!
6月13日凌晨,A站发布《关于AcFun受黑客攻击致用户数据外泄的公告》称:“AcFun受到黑客攻击,已有近千万用户数据遭到外泄。AcFun在2017年7月7日升级改造了用户账号系统,如果您在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果您的密码过于简单,也建议修改密码。”
雷锋网获悉,尽管A站在黑客得手之后第一时间向警方报案,但很快这900万条信息便被放在暗网上进行售卖,其打包标价达到40万元。而如果是单卖,则是以1元800条信息的价格兜售。在被售卖的信息中,包含了用户ID、用户昵称、加密存储的密码等信息。
然而,对于这次攻击,用户的反应却格外冷静。相比于谴责呵斥的话语,A站这次反倒迎来的更多是类似“加油”、“撑下去”之类的鼓励话语。这似乎与A站之前因为网站故障关停后才“死而复生”不久有着必然联系。
只能说,在二次元世界里,真的是情怀无敌。
5、黑客利用思科智能安装漏洞攻击网络基础设施
为了选举,黑客也算是煞费苦心了......
4月7日,一个名为“JHT”的黑客组织利用 Cisco(思科)CVE-2018-0171(远程代码执行漏洞)攻击了俄罗斯和伊朗两国的网络基础设施,进而波及了两国的 ISP(互联网服务提供商)、数据中心以及某些网站。
该漏洞可以让攻击者绕开用户验证,直接向Cisco设备的TCP 4786端口发送特意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。受到攻击后,Cisco 路由器的配置文件 startup-config将被覆盖随后进入重启状态。
然而,此次攻击事件似乎与美国的总统选举有着直接关联。在Cisco系统受到攻击后,其显示出了“不要干扰我们的选举”的警告字样,并同时附上了美国国旗的图案。
6、万豪喜达屋:5亿客户的用户信息泄露
虽说是五星,但依旧住店需谨慎!
11月30日,万豪国际酒店集团多达五亿人详细信息疑遭泄露,该名黑客自2014年一直能够访问万豪酒店集团喜达屋部门的客户预定数据库。
消息发出后,万豪股价下跌4.22%。此次信息泄露涉及5亿用户信息组合,其中包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好等。
随后,美国客户也向万豪集团提出集体诉讼,索赔125亿美元。
7、区块链平台EOS现史诗级系列高危安全漏洞
一个漏洞牵动的是整个行业的起起伏伏。
5月29日,雷锋网获悉360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。
攻击者通过构造恶意代码智能合约触发其安全漏洞,然后再将恶意合约打包进新的区块,进而导致网络中所有节点被远程控制。在这之后,攻击者可以窃取EOS超级节点的密钥,控制 EOS 网络的虚拟货币交易;获取 EOS 网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。
EOS是“区块链3.0”的新型区块链平台,其市值在当时高达690 亿人民币,在全球市值排名第五,这也预示着这次的高危漏洞将对整个区块链平台带来巨大影响,因此被称为“史诗级系列高危安全漏洞”。
8、VPNFilter-新型IoT Botnet
一起由BlackEnergy精心策划的“阴谋”。
5月23日,Cisco Talos团队披露了一起名为”VPNFilter”的IoT Botnet事件。据360CERT团队分析,VPNFilter是一个通过IoT设备漏洞组建Botnet,多阶段,多平台,模块化,多功能的恶意网络攻击行动。
而VPNFilter具有强对抗性和周密计划性、多阶段执行、Dropper通过图床进行上下行、采用和BlackEnergy相似的变种RC4算法对信息加密、利用图片EXIF获取C2、C2通过Tor流量进行交互和通过利用Linksys、Mikrotik、Netgear、TP-Link、QNAP的相关漏洞进行传播感染等多种特征。
360CERT团队称:“早在2014年,BlackEnergy的相关行动就能看出其正在着手IoT Botnet组建,且也是通过分段化的形式逐步构建僵尸网络,这样的大规模行动在APT行为里并不常见。”
“攻击者意图构建一个广泛的,有自我隐藏能力,可以灵活提供攻击能力的大型恶意软件族群,由stage3的动作可以看出攻击者有极强的目的性。”
参考来源:360安全客
9、Github 遭遇Memcached DDoS TB级攻击
取其薄弱点攻之,唯有“快”才能攻之不破。
3月2日,知名代码托管网站GitHub遭遇了严重的DDoS 网络攻击,峰值流量达到了1.35Tbps。
和之前打“数量战”不同,此次的DDoS 网络攻击采用了更为高端的放大技术,其目的在于对主机服务器产生更严重的影响。这项新技术让5万台Memcached(初衷是提升内部网络的访问速度)服务器连接到网路上,因此非常容易受到攻击。
据称,此类服务器没有认证协议,连接到互联网中意味着任何人都可以查询它们。黑客选择攻击Memcached可以快速攻入内网进行数据窃取活动。好在GitHub得到 Akamai帮助后,在不到10分钟的时间内化解了这次危机,整个事件并没有造成严重后果。
10、蓝宝菇等APT攻击事件
这只“蘑菇”真的有毒!
7月5日,360公开了一个高级攻击组织-蓝宝菇(APT-C-12),攻击对象主要针对我国政府、军工、科研、金融等重点单位和部门。
据报告,攻击样本“Dropper”中包含一个LNK文件,名字为:《政法网络舆情》会员申请.lnk。其恶意目标主要涉及3个LNK文件格式的重要结构:LinkTargetIDList、COMMAND_LINE_ARGUMENTS和EnvironmentVarableDataBlock。
雷锋网得知,攻击者会将窃取的用户数据通过Amazon S3云存储协议上传到攻击者的云服务器中,其中包括攻击对象的计算机名、被攻击时间等信息。据称,数据显示仅一天时间内就有数个受害人员的信息被上传到服务器,整波攻击活动期间评估受控人员数量在百级。
参考来源:360安全客